Домены

Шпаргалки для блогера ► Шаг 24-й.  Заметаем следы — удаляем файлы readme.html и license.txt

Если последнее время мы всю заботу по безопасности наших блогов старались переложить на плагины, то сегодня придется поработать ручками.

Помните, в 18-й шпаргалке, когда мы знакомились со структурой CMS WordPress, задавала вопрос — с какой целью я обвела на скриншоте два плагина?

Увы, желающих ответить на него не нашлось. Только Сергей Гвоздев полюбопытствовал, что это за файлы, но дальше этого дело тоже не пошло.Между тем, эти два файла — находка для шпиона хакера, поэтому их надо удалить!!!

Спросите, зачем, что в них такого, чтобы принимать столь радикальные меры? Это тот случай, когда все лучше увидеть, чем услышать, поэтому давайте посмотрим.

Возьмите урл своего блога и добавьте к тему имя первого файла - readme.html. У меня в тестовом блоге получился вот такой URL: http://fh79244j.bget.ru/readme.html 

Нажимаю Enter и вижу что? Правильно, версию CMS WordPress:

Версия CMS WordPress, как защитить блог от взлома


То-то хакер обрадуется, даже голову не нужно ломать, какие ключики подбирать для блога — версию Ворпресса знает, все остальное — дело техники.

А теперь посмотрим, что же такого важного и полезного лежит в файле license.txt. Снова подставляем имя файла к урлу и получаем http://fh79244j.bget.ru/license.txt:

Файл license.txt, как защитить блог от взлома

Тут, правда, точная версия Вордпресса не указана, но из текста нетрудно догадаться, что блог сделан на  CMS WordPress. Тоже зацепка для взломщика, особенно если в вашем блоге нет явных признаков того, что вы использовали именно этот движок.

Какие бывают CMS?

Кстати, а вы знаете, сколько вообще существует  CMS? На Вордпрессе же свет клином не сошелся. Загляните к себе в админку хостинга:

CMS, виды CMS

Иди зайдите на сайт http://2ip.ru, там есть страница «Система управления сайтом (CMS)», где можно узнать, на каком движке сделан тот или иной блог:

сервис  http://2ip.ru, как узнать версию движка

Причем, даже найдя уже ответ на ваш вопрос, сервис старательно перешерстит все остальные движки, чтобы уж наверняка, так что список всевозможных CMS получается довольно внушительным — я насчитала 66 штук.

На самом деле их значительно больше. Есть такой сайт, который так и называется «Каталог CMS», так в этом каталоге 758!!! движков http://www.cmsmagazine.ru/catalogue/.  Теперь представляете, как нужна хакерам подсказка, которая кроется в файлах readme.html и license.txt?

Наша беспечность для хакера — сэкономленной время. Не забывайте об этом.

У кого какая версия WordPress

Вот вроде бы мелочь — два файлика, которые удалить — секундное дело. Но почему-то у блогеров, причем не только начинающих, до этого либо руки не дошли, либо они просто упустили эту мелочь из виду.

Сейчас вам это покажу опять же на наглядном примере. Я зашла на страницу «Мои комментаторы», взяла наугад 20 урлов и проверила, кто из блогеров удалил файлы readme.html и license.txt, а кто нет.

Увы, картина безрадостная, получилось, что четверо из пяти блогеров проявляют элементарную беспечность. Взгляните на свои блоги глазами хакера, посмотрите, у кого какая версия CMS WordPress установлена:

  1. nature-pict-and-sound.com/readme.html Версия 3.5.1
  2. good-seo.ru/readme.html Версия 3.8.1
  3. podarok-super.ru/readme.html Версия 3.8.1
  4. liublog.net/readme.html Версия 3.8.1
  5. olgworld.com/readme.html Версия 3.8.1
  6. elenaknsp.com/readme.html Версия 3.8.1
  7. larisenok.com/readme.html Версия 3.6.1
  8. moyatepliza.ru/readme.html Версия 3.8.1
  9. seychaste.ru/readme.html Версия 3.8.1
  10. moybalkonchik.ru/readme.html Версия 3.8.1
  11. informatikurok.ru/readme.html Версия 3.0.4
  12. odriflik.ru/readme.html Версия 3.5.2
  13. blog.ddw.kz/readme.html Версия 3.8.1
  14. blogovedka.ru/readme.html Версия 3.8.1
  15. workformation.ru/readme.html Версия 3.4.2
  16. dalnobojnyj.ru/readme.html Версия 3.5.1

Самыми бдительными оказались авторы этих блогов:

  1. burido.ru/readme.html
  2. myrubicon.ru/readme.html
  3. blogo-fishki.com/readme.html
  4. 100let-bez-bed.ru/readme.html

Если блогеры согласятся со мной, что файлы readme.html и license.txt нужно удалять, и найдут время это сделать, то тогда страницы типа http://ВАШ ДОМЕН/readme.html будут выдавать всем любопытным ошибку 404.

Кстати, обратите внимание на то, что если вы обновились до версии 3.8.1, то отныне WordPress будет обновляться сам, без какого-либо вашего участия. И сам будет добавлять в новые версии файлы readme.html и license.txt, так что возьмите себе за правило: увидели, что движок обновился, идите и удаляйте ненужные файлы.

Как удалить файлы readme.html и license.txt

Это несложно и времени займет буквально пару секунд. Чтобы новички дров не наломали, покажу на скриншотах все по шагам. Надеюсь, вы все изменения сначала делаете на наших тестовых блогах?

1. Загружаем страницу входа в админку Бегета, вводим логин и пароль:

Вход в админку Бегета

2. Проходим в файловый менеджер:

Файловый менеджер Бегета

3. Открываем папку, в которой лежит ваш блог:

Основная папка, где лежит блог

4. Открываем корневую папку:

Корневая папка блога

5. Находим файлы readme.html и license.txt и поочередно удаляем:

Файлы readme.html и license.txt в корневой папке блога

6. Сначала выделяем один файл, допустим, readme.html, щелкаем по нему правой кнопкой и нажимаем на «Удалить»:

Удалить файл readme.html, как защитить блог от взлома

7. Подтверждаем свои намерения:

Удалить файл readme.html, подтверждение удаления файла readme.html

Теперь точно так же удаляем второй файл — license.txt.

Чтобы проверить, что все сделано правильно, я ввожу URL http://fh79244j.bget.ru/readme.html и вижу ошибку 404. Что нам и нужно.

Блог, ошибка 404

 

Всем удачи и хорошего трафика!
© Елена Олейникова, "Школа блогера"

 

 

Словарь блогера

Анализ сайта — комплекс мероприятий, позволяющий выявить проблемные места с точки зрения поисковой оптимизации.

Блог (англ. blog, от web log) — интернет-дневник или онлайн-дневник. Основное содержимое такого веб-сайта — регулярно добавляемые записи, содержащие текст, изображения или мультимедиа.

Блогер (блоггер) — автор блога (интернет-дневника, онлайн-дневника).

WordPress — система управления содержимым сайта (CMS или движок) с открытым исходным кодом.

Школа блогера: подписаться на рассылку

 

Домен и хостинг для блога

Домены
 
Поделись ссылкой, добавь в закладки:

Мои комментаторы 9 комментариев

Мои комментаторы

Они уже здесь общаются, присоединяйтесь и вы! И друзей своих зовите!
  • Сергей Гвоздев Дед:

    Осмелюсь не согласиться с «вредоносностью» файлов readme.htm и license.txt. Readme.htm это своего рода инструкция по использованию последней версии WordPress на русском языке. Конечно, если новичёк знает как её использовать, то может её удалить. Тем более, если он боится, что взломщик его блога тоже захочет узнать что такое WordPress последней версии. Ведь если бояться, что в ваш холодильник может забраться вор и утащить из него всю еду, то холодильник надо оставлять пустым.

    Файл license.txt это всего лишь правила как писать программы в рамках системы разработки свободного программного обеспечения.

    "Лицензия разработана с целью гарантировать вам право совместно использовать и вносить изменения в свободное программное обеспечение, т.е. обеспечить свободный доступ к программному обеспечению для всех пользователей. "

    К WordPress она имеет только то отношение, что сама программа WordPress разрабатывается в рамках этой лицензии "GNU General Public License (переводят как Универсальная общественная лицензия GNU, Универсальная общедоступная лицензия GNU или Открытое лицензионное соглашение GNU) — лицензия на свободное программное обеспечение, созданная в рамках проекта GNU в 1988 г. Её также сокращённо называют GNU GPL или даже просто GPL. " Взломщик вашего блога может прочитать эту лицензию не русском языке по этому адресу: infolex.narod.ru/gpl_gnu/gplrus.html прежде чем напасть на ваш блог. Если честно, то новичку дейсвительно этот файл не нужен. И удалить его можно по этой причине. Так само и readme.htm.

    [Ответить]

    Елена Олейникова Ответ:

    Сергей, хакер, когда приходит на какой-то ресурс, в первую очередь должен знать, на каком движке сделан блог, и какая у него версия. Все остальное — дело техники. Так зачем ему жизнь облегчать и сразу все карты раскрывать? Поэтому и удаляют файлы readme.htm и license.txt.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Админка. Первичные настройки. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Сергей Гвоздев Дед:

    Хакера бояться — блог не заводить.

    [Ответить]

  • Андрей Чернов:

    Елена, у себя кроме упомянутых нашел еще несколько подобных файлов

    (видимо на итальянском)

    licens.html 22.6k 644

    licenza.html 24.3k 644

    readme-ja.html 3.12k 644

    Доступные всем на чтение.

    Предполагаю их также удалить.

    [Ответить]

    Елена Олейникова Ответ:

    Здравствуйте, Андрей! Действительно, файлы у вас какие-то левые. Конечно, такие надо удалять, они ведь тоже дают подсказку, на каком движке сделан блог.

    А что, у Спринтхоста нет нормального дистрибутива Вордпресса?

    Я вижу, что вы только-только начали обучение в тренинг-центре «Твой старт». И сразу с косяков начали 🙂

    Зачем вы правую кнопку отключили? На все такие хитрости есть сочетание клавиш Ctrl+U и весь ваш блог как на ладони. А так только неудобства доставляете и себе, и своим посетителям. Если кому надо что-то стырить, их такие детские способы защиты не остановят.

    И тема у вашего блога, прямо скажем, совершенно не удачная. Таких в Сети — воз и маленькая тележка. Вы еще ни копейки не заработали, а уже беретесь учить. Результат будет вполне предсказуемым — ни посетителей, ни денег. Пока не поздно придумайте какую-то другую тему, интересную и не заезженную. Вы же инженер, в компании интернет-провайдера работали, наверно, можно найти тему, которая была бы и другим интересна, и вам тоже. Или нет? Тогда исходите из своих увлечений, хобби какое-то у вас есть?

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Меняем бесплатный домен на платный. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • мимо проходил:

    ну афигеть. да есть масса иных более простых способов узнать на чем сайт сделан. тот же ваппалайзер

    [Ответить]

  • Александр:

    Елена, в свое время столкнулся со взломом.Хороший сайт или плохой, молодой или старый. На любом можно поиметь не нужных себе проблем. Вопрос безопасности был, есть и будет. Ваш анализ — предупреждение. Мое мнение, если известен возможный вред, лучше избавиться сразу. Удаляю, спасибо!

    [Ответить]

    Елена Олейникова Ответ:

    Согласна с Вами, Александр. Если кому-то очень захочется, взломают. Сейчас чуть ли не ежедневно на почту приходят сообщения, что заблокирован тот или иной IP. Вот кому неймется? Это же ко всему прочему и нагрузку на сайт создает, пока мой хостер не возмущается, но кто его знает, что завтра будет (ттт).

    [Ответить]

  • Сергей:

    Все понято. непонятно как добится, чтобы сервис 2ip.ru/cms/ не давал подсказку на сайт(найдены признаки использования), иначе все бесполезно.

    [Ответить]

Есть вопросы? Задавайте!

ДОБРО ПОЖАЛОВАТЬ!

Елена Олейникова - автор Школы блогера

RSS-подписка
RSS-лента Школы блогера

Введите ваш адрес электронной почты:

ВСЁ для БЛОГЕРА

Анализ блога

Проверка Траста

Домен для блога

Регистрируй домен и зарабатывай
Наш адрес не дом и не улица...
Домен на 50 процентов дешевле
Бегет: как изменить домен?
Домен для блога

Регистратор доменов

Хостинг для блога

Фото для блога

Depositphotos

Книжная полка

CMS WordPress
ВЕК ЖИВИ — ВЕК УЧИ:
СОФТ для БЛОГЕРА

Купить The Bat

Фотошоп-онлайн
Транслитераторы
Клавиатурные тренажеры
 
софт в Allsoft.ru
поиск программ
 
СТАТИСТИКА